En anden informationstyver bliver distribueret ved hjælp af piratkopierede softwarewebsteder. CryptBot, en velkendt infostealer, er blevet "set" på adskillige websteder, der tilbyder gratis downloads til crackede spil og pro-grade software.
CryptBot: En Infostealer i konstant udvikling
Cryptbot har været beskrevet som "en typisk infotyver, i stand til at opnå legitimationsoplysninger til browsere, kryptovaluta tegnebøger, browser cookies, kreditkort, og laver skærmbilleder af det inficerede system." Stjålne detaljer samles i zip-filer og uploades til kommando-og-kontrol-serveren.
Som påpeget af Asec-forskere, CryptBot udvikler sig konstant, med distributionssider, der konstant nyoprettes. I forhold til hvordan angrebet udføres, når brugeren klikker på en downloadknap på en af angribernes websteder, brugeren føres gennem flere omdirigeringer, med en sidste omdirigering til malware-distributionssiden. Det skal bemærkes, at der konstant oprettes nye typer af disse omdirigeringer.
Ifølge Asecs rapport, "ikke kun er distributionssiderne under forandring, men selve CryptBot ændrer sig også aktivt, og en ny version med en storstilet modifikation er for nylig ved at blive distribueret." Malwareforfatterne fjernede nogle af CryptBots ekstra funktioner for forenkling, og infostealing-koden blev ændret for at tilpasse sig det nye browsermiljø.
Anti-sandbox-funktionen er blevet slettet, samt infostealing-funktionerne ved at indsamle TXT-filer på skrivebordet. "Den adfærd med selvsletning, der blev udført, da den blev opdaget af en anti-VM-rutine, eller da den fuldførte al ondsindet adfærd og blev afsluttet, blev også slettet,”Bemærkede rapporten.
Da alle disse ekstra funktioner er væk, nye blev tilføjet, såsom at tilføje alle de nyeste Chrome-browserstinavne.
"Den tidligere version af CryptBot-koden var struktureret på en måde, så hvis mindst et stykke data ikke fandtes ud af listen over måldata til tyveri, infostjælende adfærd ville mislykkes. Så, infostealing lykkedes kun, når det inficerede system brugte Chrome-browser v81 – v95. Den nyligt forbedrede kode kan stjæle, hvis måldataene eksisterer uanset versionen,”forskerne sagde.
Dette er ikke den første ondsindede kampagne, der bruger falske crackede installatører til at levere malware. Sidste år, Sophos-forskere udførte en grundig undersøgelse på et netværk af websteder relateret til en Racoon infostealer-kampagne, fungerer som en "dropper som en service". Dette netværk distribuerede en række malware -pakker, “Ofte bundter ikke -relateret malware sammen i en enkelt dropper,”Inklusive clickfraud -bots, andre infostealers, og ransomware.